吃鸡、蹭网、看片片……你的电脑可能正在被偷用来挖矿！(2)

在2017年11月，雷锋网接到来自多个安全实验室的消息，中国电信校园门户网站【zsteduapp.10000.gd.cn】提供下载的“天翼校园客户端”携带后门病毒“Backdoor/Modloader”，该病毒可随时接收远程指令，利用被感染电脑刷广告流量和 “挖矿”（生产“门罗币”），让这些校园用户的电脑沦为他们牟取利益的“肉鸡”。

咳咳，爱看小说、爱打小游戏、爱看小片片的同学们注意了！

来自腾讯电脑管家的安全专家告诉雷锋网，想通过挖矿获取更多的数字加密货币，只有提升算力一条途径，提升算力就只能从机器数量及配置入手。而《绝地求生》吃鸡游戏对用户的 PC 配置要求比较高，这与挖矿木马的需求相符，这类开挂玩家自然成为黑客盯上的目标。

大意就是，已联系了互联网服务提供商，发现 WiFi 不是由星巴克运营的，所以这不是星巴克可以控制的东西。（言外之意，这事儿不怪本宝宝，我也很无奈啊~）上述情况只发生在个别门店，目前对此事已经进行了处理。（大家不要太担心，该干嘛干嘛。）

2018年1月4日，雷锋网接到腾讯电脑管家的消息，称其捕获了一款名为“tlMiner”的 HSR 币（红烧肉币）挖矿木马，隐藏在游戏《绝地求生》的辅助程序中，根据网络上的数据来看，仅仅在20日一天就有将近20万台电脑遭到病毒感染。

热门文章

该 JS 挖矿机是由 Coinhive（专门提供挖矿的 JS 引擎） 提供的一个服务，采用了 Cryptonight 挖矿算法挖门罗币，而 Cryptonight 算法复杂、占用资源高，常被植入普通用户机器，占用其CPU资源来挖矿。

僵尸网络和挖矿木马这对病毒，可以说是很绝配了。

在世界各地的星巴克里，我们经常能看到带着笔记本“蹭网”办公的白领们。

8、浏览器插件也能挖矿，手动安装需谨慎

安全人员发现，该网站在百度、谷歌、必应等多家搜索引擎中，搜索结果位置都极靠前。在百度搜索关键词“KMSpico”时，带毒网站赫然排在第二的位置上。

病毒坑的可能不仅是PC 的个人电脑的CPU，还有可能坑金主爸爸。

但佛系商家星巴克却很淡定，在事件曝光10天后，才终于做出了回应，而且回应的主要内容是甩锅给 WiFi 提供商~~~

Key Management Service（KMS）原本只是在Windows Vista之后的产品中，所提供的一种新型产品激活机制，目的是为了微软能更好地遏制非法软件授权行为。

也就是说，这种挖矿病毒坑的不只一个个的 PC 使用者，还有很多在这些网站投广告的金主爸爸。

最先发现该情况的是一位名为 Dinkin 的推特用户，他对布宜诺斯艾利斯的星巴克喊话：喂，老兄，你家的公共 WiFi 被黑客挖矿了，延迟了10秒啊，快来看看哪~~~

2017年12月19日，雷锋网接到火绒安全团队的报告，当用户从网站 kmspi.co下载激活工具KMS时，电脑将被植入挖矿病毒“Trojan/Miner”。该病毒入侵用户电脑后，会利用电脑疯狂“挖矿”，让这些用户电脑沦为他们牟取利益的“肉鸡”。

据来自腾讯电脑管家的安全专家预测，与早期的裸奔状态不同，2018年或将会有越来越多的挖矿脚本隐藏在各类网站进行挖矿。此外，部分玩家对游戏辅助的“青睐”，或将促使不法分子将更多恶意程序植入到游戏辅助等常规软件中。

“天翼校园客户端”安装包运行后，后门病毒即被植入电脑。该病毒会访问远程C&C服务器存放的广告配置文件，然后构造隐藏IE浏览器窗口执行暗刷流量，同时也会释放门罗币挖矿者病毒进行挖矿。

与那些自愿为矿池提供算力并获取报酬的普通矿工不同，“挖矿木马”是黑客在未授权的情况下向服务器恶意植入程序，并盗用了个人计算机的算力来获取不义之财。

2017 年 7 月，来自腾讯电脑管家的安全研究人员发现，有多个网站在其网页内嵌了挖矿 JavaScript 脚本，用户一旦进入此类网站，JS 脚本就会自动执行，占用大量的 CPU 资源以挖取门罗币，使电脑出现卡顿。

通过监测发现，该病毒下载的广告链接约400余个，由于广告页面被病毒隐藏，并没有在用户电脑端展示出来，这致使广告主白白增加了流量成本。受该病毒点击欺诈影响的广告主不乏腾讯、百度、搜狗、淘宝、IT168、风行网等等。

比如，2017 年 5 月发现的“Adylkuzz”僵尸网络，它比“WannaCry”出现的时间还要早，威力也不小，影响了全球几十万台机器。

据360称，这是国内首次出现浏览器插件挖矿事件。

讽刺的是，Coinhive 特别说明不要在不提示用户的情况下使用该服务，因为用户的利益比任何公司短期利益都要重要的多。然而实际情况是该服务已经被各个站点滥用，有媒体评价 Coinhive 为最受恶意软件开发者喜欢的“门罗币收割机”。

大意就是你只需下载运行该软件，剩下的，啥都不用做就可以轻松赚钱，就等着天下掉馅饼了！

以后看“小片片”要小心了，色站不只会掏空你的身体，还会掏空你的电脑！

2、“蹭网”当心被挖矿，甩锅只服星巴克

在2017年年末，黑客盯上了这些电脑配置还不错的人，他们通过植入挖矿木马，把笔记本变成了自己的矿机，疯狂挖掘门罗币。

据安全人员研究，所谓的挂机网赚只是木马病毒的幌子。包括“太极挂机软件”在内的多款类似恶意程序一旦被用户下载并安装，不但会大量占用CPU资源进行挖矿操作，还会在用户机器上传播 Ramnit 感染型木马，更有甚者，直接给电脑添加上 MBR 密码使用户无法正常登录系统！

在挖矿木马还没有隐藏在普通软件之前时，它还只是僵尸网络一个新拓展的“业务”，能同时做到挖矿、DDoS两不误，这时的挖矿行为还处于“裸奔期”。

其实号称挂机软件的网赚项目一直以来都有，但还是有很多人真的相信天下就是有免费的午餐。

想不到吧，打倒外挂的，竟然是一款挖矿的木马病毒。

木马入侵成功后，就会链接C&C服务器，接受挖矿指令，该木马目前专门挖取门罗币。

5、病毒能打组合拳，挖矿刷量两不误

不过有意思的是，“Adylkuzz”入侵成功后会利用“永恒之蓝”漏洞阻止其他病毒也利用此类漏洞，安全专家认为这在一定程度上限制了“WannaCry”的传播。

2017年末，360安全卫士检测发现，一款名为“百度网盘高速下载”的Chrome插件暗藏挖矿脚本，占用大约30%的CPU资源挖门罗币。

话说，中大奖还得先买彩票呢？这种无投入就能赚钱的事，怎么能相信呢？

3、披着“网赚”项目的外衣，干着恶意挖矿的勾当

1、上色情网站：掏空你的身体……还有CPU

除了大量用户通过搜索引擎进入带毒网站，由于KMS极为流行，极有可能已经被网友分享到各大技术论坛，形成二次传播。

但正是这个看起来“一身正气”的激活工具，却成为黑客传播挖矿木马的途径之一。

与可疑邮件或陌生网址等常见的木马感染渠道相比，浏览器插件的安全性并没有引起网民的足够重视，再加上不法分子对某些功能的刻意渲染，很容易吸引网民中招。

天翼校园客户端安装后，安装目录中会释放 speedtest.dll 文件，speedtest.dll扮演病毒“母体”角色。执行下载、释放其他病毒模块，最终完成刷广告流量和实现挖矿。

目前，门罗币也成为黑客最喜欢挖的一类币，据腾讯电脑管家安全专家分析，主要原因是因为比特币挖矿难度太大，需要专业的矿机，而门罗币挖掘难度相对较小，普通的PC电脑就可以挖掘。

4、傍上僵尸网络的挖矿木马，我裸奔我怕谁

对于普通的用户，应从以下几点来防止挖矿病毒木马入侵。

可以说是一点认错的态度都没有~~~

虽然感染此木马挖矿后外挂依然可以继续使用，但安全专家建议，曾经使用过外挂的朋友还是应该回家彻底查一次毒，因为此木马导致用户显卡满负荷工作，寿命将大幅缩减。

相关推荐

不过，根据公布的脚本可以看出，黑客主要通过入侵 WIFI 提供商， 在 WIFI 连接页面被植入挖矿代码，导致用户在连接 WIFI 时执行挖矿程序。Hackread.com（黑客研究网站）和Blockexplorer.com（比特币挖矿网站）均表示，这确实是 Coinhive 代码，专门负责帮黑客挖掘门罗币。